Change search
ReferencesLink to record
Permanent link

Direct link
Two way Firewall for Internet of Things
KTH, School of Electrical Engineering (EES).
2016 (English)Independent thesis Advanced level (degree of Master (Two Years)), 20 credits / 30 HE creditsStudent thesis
Abstract [en]

The Internet of Things(IoT), an emerging global Internet-based technical architecture impacts the security and privacy of the stakeholders involved. IoT security is the area of endeavour concerned with safeguarding connected devices and networks in the Internet of things. It is of utmost importance to allow protected access to IPv6 over Low power Wireless Personal Area Networks (6LoWPAN) networks and protecting Internet-connected critical infrastructures from wireless hosts within 6LoWPAN network. The security architecture deployed must ensure resilience to attacks, data authentication, integrity, access control to data, resources and client privacy. With increasing technology, there is high probability for hackers and intruders to succeed attacking a network. Hence, security of networks is essential.This solution is to counter the attacks by implementing a two way firewall. This solution makes scientific contribution by adding support for the IoT protocol Constrained Application Protocol(CoAP) and Datagram Transport Layer Security(DTLS) which are widely used for communication in IoT networks. If the packet arrives on CoAP or DTLS port, firewall scans the packet to see that the packet confirms to the message format intended. Devices in 6LoWPAN are memory constrained possessing less RAM and hence another key contribution of this thesis is that the rules, stored in files, are read directly from file facilitating minimal use of additional memory. In addition to this, the decisions of firewall i.e. the blacklisted and whitelisted IP addresses are also saved in files.The firewall is deployed and evaluated within 6LoWPAN. The power consumption and memory consumption are calculated. Security is evaluated analytically and it is seen that the true positive rate ranges from 80-95% for DoS(Denial of Service) attacks and 90-100%for IP spoofing attacks. It can be concluded that firewall can be deployed with very little overhead in terms of memory and power consumption. As an extension to this firewall, multiple IoT protocols parsing such as Message Queuing Telemetry Transport(MQTT), Extensible Messaging and Presence Protocol(XMPP) can be added. Similarly support for other attack detection algorithms like IP Spoofing, Distributed DoS(DDoS) can be added.

Abstract [sv]

Sakernas Internet år en framväxande global Internet-baserad teknisk arkitektur som på-verkar säkerheten och integriteten för inblandade deltagare. IoT-säkerhet är området där man strävar mot att såkra uppkopplade apparater och nätverk i Sakernas Inter-net. Det är av yttersta vikt att tillåta skyddad tillgång till IPv6 över trådlösa och energisnåla lokala nätverk (6LoWPAN), samt att skydda kritisk infrastruktur som har Internet-uppkoppling från trådlösa apparater inom 6LoWPAN-nätverken. Den säker-hetsarkitektur som används måste garantera motståndskraft mot attacker, autentisering och integritet av data, tillgångskontroll för data och resurser, samt användares privatliv. Med ökande användning av teknologi stiger möjligheten för hackare att kunna attackera ett nätverk framgångsrikt. Därför är säkerhet i nätverken av yttersta vikt.I denna rapport visar vi hur man kan motverka angrepp på säkerheten genom att im-plementera en två-vägs-brandvägg. Det vetenskapliga bidraget är att vi lägger till stöd för IoT-protokollet Constrained Application Protocol (CoAP) och Datagram Transport Layer Security (DTLS), vilka används av många för kommunikation inom IoT-nätverk. Om ett paket inkommer på en CoAP- eller DTLS-port, så undersöker brandväggen pa-ketet för att se till så att paketet är formaterat korrekt. Apparater i 6LoWPAN har ofta minnesbegränsningar, varför ett annat centralt bidrag i denna rapport är att brandvägg-sreglerna lagras i filer och inläses direkt vid behov för att minimera minnesanvändningen. Dessutom sparas besluten som tas av brandväggen, dvs. svart- och vitlistningar av IP-adresser, i filer.Brandväggen används och utvärderas inom 6LoWPAN. Energiförbrukningen och min-nesanvändningen beräknas utifrån experimentell data. Säkerheten utvärderas analytiskt, och vi ser att andelen sant positiva beslut är 80-95% för Denial-of-Service (DoS) attacker, samt 90-100% för IP-spoofing attacker. Slutsatsen är att brandväggen kan driftsättas med väldigt lågt minnesbehov och låg energiförbrukning. Brandväggen kan i framti-den utökas med ytterligare IoT-protokoll som Message Queuing Telemetry Transport (MQTT) och Extensible Messaging and Presence Protocol (XMPP). Dessutom vore det önskvärt med stöd för andra detekteringsmekanismer mot attacker, som exempelvis IP-spoofing och Distributed Denial-of-Service (DDoS).

Place, publisher, year, edition, pages
2016. , 60 p.
Series
EES Examensarbete / Master Thesis, TRITA EE 2016:110
National Category
Engineering and Technology
Identifiers
URN: urn:nbn:se:kth:diva-194234OAI: oai:DiVA.org:kth-194234DiVA: diva2:1039014
External cooperation
SICS Swedish ICT
Examiners
Available from: 2016-10-20 Created: 2016-10-20 Last updated: 2016-11-16Bibliographically approved

Open Access in DiVA

fulltext(2440 kB)29 downloads
File information
File name FULLTEXT01.pdfFile size 2440 kBChecksum SHA-512
e74b7803eab27b3fd02cbdec83af2557fdf2c4579d7e0f321eb80b1e6a517db581242aecb829d1a95291a3743d89aac2dcc947c26f931fc3327f9b260170187d
Type fulltextMimetype application/pdf

By organisation
School of Electrical Engineering (EES)
Engineering and Technology

Search outside of DiVA

GoogleGoogle Scholar
Total: 29 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

Total: 65 hits
ReferencesLink to record
Permanent link

Direct link